Défilez vers le bas
Data

Le projet de Data Act : innovations et questions posées par le « RGPD des données industrielles »

13 février 2023

Le projet de Data Act est en cours de discussion au Parlement Européen, et est annoncé pour le courant de l’année 2023. Il a pu être qualifié de « RGPD des données industrielles » dans la mesure où il a été élaboré par le législateur européen aux fins d’assurer une meilleure répartition de la valeur issue de l’utilisation des données personnelles et non personnelles entre les acteurs de l’économie de la donnée, spécifiquement liées aux objets connectés.

L’idée est, entre autres, de faire pièce aux GAFAM en consolidant une vaste économie européenne de la donnée. Le législateur européen souligne que la multiplication rapide des produits connectés (« internet des objets ») a fait augmenter le volume de données et leur valeur potentielle pour les consommateurs, les entreprises et la société en général. De nouveaux modèles économiques ont émergé. Les données sont des biens « non rivaux » et en conséquence, un même ensemble de données est susceptible d’être utilisé et réutilisé à diverses fins de façon illimitée, sans perdre en qualité ni en quantité.

Leur circulation est néanmoins entravée par les pratiques de réservation des entreprises détentrices de données, par les coûts liés aux interfaçages de systèmes et aux échanges de données, par la dispersion des informations, par l’absence de norme impérative d’interopérabilité, et par des déséquilibres contractuels au profit notamment des champions étrangers du numérique qui se sont investis bien plus tôt dans la constitution de gigantesques bases de données à travers le monde. Le législateur européen en a déduit la nécessité d’ériger juridiquement un droit d’accès et de partage des données générées par les objets connectés et les services liés, de manière harmonisée à l’échelle du continent.

Sommaire

Contexte et objectifs du Data Act

Champ d’application du Data Act

Nouveaux droits des utilisateurs, nouvelles obligations des entreprises

Adhérences avec le RGPD

Montée en puissance de l’exigence d’interopérabilité

La problématique du secret d’affaires

L’encadrement des flux transfrontaliers

Mise à disposition des données au bénéfice des autorités publiques

Perspectives

Contexte et objectifs du Data Act

Le Data Act fera suite au Data Governance Act (« DGA ») adopté en mai 2022, qui avait pour but d’encadrer la réutilisation de certaines données du secteur public en créant notamment de nouvelles certifications et des services d’intermédiaires de données. Le DGA évoquait comment le secteur public peut partager ses données ; le Data Act indique désormais comment les entreprises doivent permettre de créer de la valeur ajoutée à partir de leurs données.

Schématiquement, le Data Act a pour objectifs de :

  • Faciliter le partage des données générées entre entreprises (B2B) et avec le consommateur (B2C), en fixant notamment une obligation de rendre accessibles les données générées par l’utilisation des objets connectés et services connexes, en contrepartie d’une compensation juste et équitable ;
  • Permettre l’utilisation de ces données par les entreprises européennes (à l’exclusion des « contrôleurs d’accès » définis par le DMA, c’est-à-dire les très grandes plateformes dont celles des GAFAM) et, sous réserve de justifier d’un besoin exceptionnel, par les organismes publics des États-membres et les institutions, agences ou organes de l’Union ;
  • Faciliter le changement de fournisseur de services de traitement de données (notion de « cloud switching ») par l’encadrement des relations contractuelles entre les fournisseurs de services et leurs clients, et par la suppression progressive des frais liés au changement de service cloud pour le client ;
  • Entériner une obligation de portabilité des données à la charge des entreprises qui les génèrent via leurs produits connectés, et en conséquence, renforcer l’exigence générale et sectorielle d’interopérabilité entre les services de traitement de données ;
  • Mettre en place de nouvelles garanties contre les accès illicites de gouvernements de pays tiers aux données non-personnelles contenues dans le cloud, dans la foulée des dernières évolutions qui ont marqué l’application du RGPD suite à la décision Schrems II de la CJUE du 16 juillet 2020.

L’ensemble de ces objectifs s’inscrit dans la stratégie de constitution d’un vaste espace européen d’exploitation et de valorisation des données, qui doit favoriser le développement de technologies au service des personnes et le déploiement d’une économie numérique compétitive face aux titans américains et chinois.

En tant qu’élément de la stratégie numérique européenne, le Data Act s’inscrit dans un environnement réglementaire très prolifique, à la suite du Data Governance Act, et aux côtés du Digital Markets Act (DMA, qui encadre les acteurs numériques pour préserver un marché concurrentiel et restreindre les oligopoles des GAFAM), du Digital Services Act (DSA, qui encadre les contenus échangés sur les réseaux sociaux afin de protéger les citoyens, notamment les plus jeunes, contre les contenus haineux et les fausses informations), du futur règlement eprivacy (qui doit venir réformer la Directive de 2002 applicable à la protection de la vie privée et des données de communications électroniques) et le futur Règlement IA (qui doit régir la mise sur le marché et l’utilisation des systèmes d’intelligence artificielle dans l’UE). C’est donc un environnement réglementaire particulièrement complexe que les entreprises françaises et européennes vont devoir appréhender dans les années qui viennent, et dont le RGPD ne constituait que le premier étage.

L’introduction du Data Act rappelle qu’il s’inscrit dans une volonté de redonner aux utilisateurs le contrôle sur leurs données : pas seulement les données personnelles liées aux personnes physiques, mais également les données techniques liées à leur utilisation des objets connectés et services liés qui prolifèrent désormais.

Retour au sommaire

Champ d’application du Data Act

Concrètement, le Data Act crée des obligations à la charge des entreprises qui génèrent des données « industrielles », au bénéfice de leurs clients utilisateurs (personnes physiques ou morales), et au bénéfice d’entreprises tierces tels que fournisseurs de services à valeur ajoutée ou accessoires aux produits connectés, prestataires de SAV, tiers mainteneurs… au sein de l’Union Européenne.

Il est important de bien comprendre les concepts clés du Data Act, dont les notions de « détenteurs de données » et « d’utilisateurs ».

On note à cet égard que la définition du détenteur de données (entendu à l’article 2 du Data Act comme une « une personne morale ou une personne physique qui, conformément au présent règlement, aux dispositions législatives applicables de l’Union ou à la législation nationale mettant en œuvre le droit de l’Union, a le droit ou l’obligation ou, dans le cas de données à caractère non personnel et par le contrôle de la conception du produit et des services liés, a la possibilité, de rendre disponibles certaines données à caractère personnel ») est circulaire puisqu’elle présente le détenteur de données comme une entité qui… a l’obligation de partager des données en vertu du Data Act lui-même.

Les explications des considérants du Data Act permettent de comprendre qu’il s’agit là des fabricants de produits connectés et les éditeurs des services liés aux produits connectés, mais il n’en reste pas moins que la définition juridique est loin d’avoir la clarté de celles utilisées dans le RGPD.

La notion d’« utilisateur » est plus claire, s’agissant d’une « personne physique ou morale qui possède ou loue un produit ou reçoit un service ». Enfin, la notion de « destinataire de données » est très opérationnelle, entendue comme « une personne physique ou morale, autre que l’utilisateur d’un produit ou d’un service lié, agissant à des fins qui sont liées à son activité commerciale, industrielle, artisanale ou libérale, à la disposition de laquelle le détenteur de données met des données, y compris un tiers lorsque l’utilisateur a adressé une demande au détenteur de données ou conformément à une obligation légale découlant du droit de l’Union ou de la législation nationale mettant en œuvre le droit de l’Union », c’est-à-dire une entité qui reçoit les données générées transmises par le détenteur initial pour fournir ses propres services.

Dans les faits, on brise ici le monopole des fabricants d’objets connectés sur les bases de données qu’ils constituent via leurs produits, afin de forcer la circulation plus fluide des données, sous des formats réutilisables, pour un enrichissement collectif au sein des marchés de services : les détenteurs des données ne pourront plus jouir d’un avantage compétitif interdisant l’accès à leurs marchés, et les fournisseurs de services accessoires (installateurs, réparateurs, mainteneurs) pourront améliorer leurs offres de service et l’efficacité de leurs interventions. En un mot, il s’agit de stimuler la concurrence et la complémentarité des services au sein de l’Union Européenne.

Plus précisément, le Data Act s’applique non pas spécifiquement aux données personnelles, mais plus généralement aux « données générées » qui sont produites par les « objets connectés » et les « services liés ». On entend par donnée générée « toute représentation numérique d’actes, de faits ou d’informations et toute compilation de ces actes, faits ou informations, y compris sous forme d’enregistrement sonore, visuel ou audiovisuel » à l’exclusion des données « déduites » ou construites par le truchement de logiciels d’analyse (scoring, profilage).

Ces données représentent ici la « numérisation des actions de l’utilisateur et des évènements relatifs à son utilisation ». Elles incluent les données enregistrées intentionnellement par l’utilisateur du produit, et les traces générées automatiquement par son activité ou même son absence d’activité.

Puisque ces données sont directement liées à l’utilisation du produit connecté par son utilisateur, il est nécessaire de veiller à ce que les produits soient conçus et fabriqués, et à ce que les services liés soient fournis, de telle sorte que les données générées par leur utilisation soient toujours facilement accessibles à l’utilisateur lui-même.

Le Data Act s’adresse donc spécifiquement aux entreprises qui éditent et commercialisent au sein de l’Union Européenne des objets connectés (voitures connectées, équipements domotiques, assistants vocaux, dispositifs médicaux et sanitaires, machines industrielles ou agricoles…) entendus comme des « produits physiques qui, au moyen de leurs composants, obtiennent, génèrent ou recueillent des données concernant leur performance, leur utilisation ou leur environnement et qui sont en mesure de communiquer ces données par l’intermédiaire d’un service de communications électroniques accessible au public »), à l’exclusion des ordinateurs, tablettes et smartphones « conçus pour afficher, transmettre des contenus ».

Les exemples d’objets connectés générant des données abondent. On retrouve souvent l’exemple du réfrigérateur intelligent qui trace les habitudes de consommation de son propriétaire et l’avertit lorsqu’une denrée va manquer. On peut songer aux bracelets connectés qui collectent des données physiologiques dans le cadre des produits de « quantified self » et peuvent donner des informations sur les habitudes de consommation et la santé publique. On peut songer aux voitures connectées qui émettent un très grand nombre de données techniques utiles aux travaux d’accidentologie, d’assurance, d’optimisation du réseau routier, de réparation des véhicules… Les outils de domotique génèrent eux aussi un grand nombre d’informations qui peuvent être utiles dans un contexte d’économie énergétique et d’optimisation des réseaux d’approvisionnement.

Le Data Act s’adresse également aux éditeurs des « services liés » sans lesquels les objets connectés ne peuvent pas fonctionner pleinement. La notion est cependant évasive, et on peut potentiellement y inclure un grand nombre de plateformes et de services d’hébergement sur lesquels s’appuient les objets connectés pour générer les données relatives à leur fonctionnement, leur utilisation ou leur environnement.

Ces « services liés » peuvent eux-mêmes générer des données complémentaires, de valeur pour l’utilisateur indépendamment des capacités de collecte du produit matériel, et ce même si le service lié est fourni par un tiers distinct du fabricant du produit connecté. Le champ d’application du Data Act est ici potentiellement très vaste, et la complexité technique des produits connectés va poser de nombreuses questions dans l’identification de ce qu’est un « service lié » et des entreprises concernées par l’obligation de mise à disposition de leurs données.

Retour au sommaire

Nouveaux droits des utilisateurs, nouvelles obligations des entreprises

Le Data Act introduit d’importantes modifications dans le droit des contrats, afin de poser les règles qui encadreront les échanges de données entre entreprises et avec l’utilisateur, en définissant notamment une liste de clauses abusives qui seront réputées non écrites si elles contredisent les principes de portabilité et de réutilisation des données (afin d’éliminer les distorsions dans les négociations entre les producteurs de données d’une part, et les TPE et PME réutilisatrices d’autre part).

Le Data Act apporte aussi une importante dérogation au droit sui generis du producteur de bases de données (régi en France par l’article L.341-1 du Code de la propriété intellectuelle) : ce monopole d’exploitation est désormais annihilé s’agissant des bases de données alimentées par l’utilisation d’un produit connecté.

Le Data Act affirme donc deux nouveaux droits : (i) un droit d’accès pour l’utilisateur aux données générées par l’utilisation d’un objet connecté, pour renforcer son « expérience utilisateur » ainsi que sa liberté de recourir à des tiers pour la maintenance du produit qu’il a acheté ou loué, et (ii) un droit pour l’utilisateur d’exiger la portabilité des données générées par son utilisation de l’objet connecté vers un tiers destinataire, qui pourra les réutiliser à son tour pour fournir son propre service à l’utilisateur.

S’agissant du droit d’accès, l’article 3 du Data Act énonce clairement que « La conception et la fabrication des produits, et la fourniture des services liés, sont telles que les données générées par leur utilisation sont, par défaut, facilement, de manière sécurisée et, lorsque cela est pertinent et approprié, directement accessibles à l’utilisateur ».

Le Data Act affirme corrélativement une obligation de principe pour les détenteurs de données : « Les fabricants et les concepteurs doivent concevoir les produits de telle manière que les données soient facilement accessibles par défaut, et ils devront faire preuve de transparence quant aux données qui seront accessibles et à la manière d’y accéder ». La réflexion sur l’accès des utilisateurs aux données générées doit donc désormais intervenir dès la conception des systèmes de traitement : on voir naître ici une notion d’« accessibility by design », à l’instar du « privacy by design & by default » introduit par le RGPD.

S’agissant du droit de portabilité, l’article 5 du Data Act énonce tout aussi clairement que « Lorsqu’un utilisateur ou une partie agissant au nom de ce dernier en fait la demande, le détenteur de données met à la disposition d’un tiers, dans les meilleurs délais, sans frais pour l’utilisateur et, le cas échéant, en continu et en temps réel, les données générées par l’utilisation d’un produit ou d’un service lié, à un niveau de qualité identique à celui dont lui-même bénéficie ».

Il s’agit d’un élargissement et d’un renforcement très significatifs du droit à la portabilité qui existait, pour les données personnelles, dans le RGPD. Cette nouvelle portabilité ne va pas sans poser de nombreuses questions, comme il sera examiné infra.

L’article 9 du Data Act prévoit la possibilité d’une compensation pour le fabricant de la part du tiers destinataire, et des garanties supplémentaires permettant d’assurer une utilisation proportionnée des données par ce tiers (sans toutefois que les contours de ces garanties supplémentaires soient clairement définis. Le Data Act renvoie à cet égard à la pratique contractuelle qui devra se développer, autour notamment de clauses contractuelles types qui seront édictées par les autorités européennes). Cette compensation financière devra être « équitable, non-discriminatoire et raisonnable », et ne pourra pas devenir un prix de cession des données au-delà des coûts effectifs de l’octroi technique de l’accès aux données[1], lorsque le destinataire desdites données sera une micro, petite ou moyenne entreprise.

Concrètement, ces exigences d’accessibilité et de portabilité des données générées par les objets connectés vont amener les entreprises qui les fabriquent à une réorganisation interne d’envergure, comparable à celle qu’a impliquée le RGPD. Elles vont notamment devoir :

  • Auditer leurs bases de données afin d’identifier toutes celles qui, liées à l’exploitation de leurs produits connectés, sont concernées par le Data Act. On retrouve ici la nécessité de cartographier les données industrielles, ce qu’imposait déjà le RGPD pour les données personnelles ;
  • Mettre en place une nouvelle information précontractuelle exposant les nouveaux droits d’accès et de portabilité des données, qui devra notamment indiquer (i) la nature et le volume des données susceptibles d’être générées, dont celles susceptibles d’être générées en continu et temps réel ; (ii) les modalités d’accès à ces données par l’utilisateur ; (iii) l’information selon laquelle le fabricant/fournisseur a l’intention de réutiliser les données et si oui pour quelles finalités ; (iv) l’identité (raison sociale et localisation) du détenteur de données ; (v) le moyen pour le contacter rapidement et les modalités de demande de portabilité des données vers un tiers, et enfin (vi) le droit de plainte devant l’autorité compétente.
  • Déployer des procédures internes afin de répondre efficacement aux demandes d’accès et de portabilité qui leur seront faites par les utilisateurs de leurs produits et services, tout en limitant le transfert aux seules données pertinentes ;
  • Garantir la portabilité des données ainsi que l’interopérabilité des services de traitement, en se conformant à des normes générales ou sectorielles (le Data Act se réfère à ce titre au Règlement européen 1025/2021 et aux normes que les organismes de normalisation pourront émettre à ce titre).

Les détenteurs de données devront aussi préparer des contrats à conclure avec les tiers destinataires, afin d’organiser le transfert des données, tout en veillant au respect des bases légales qui autorisent l’émetteur comme le destinataire des données à traiter les données personnelles figurant dans les bases de données générées.

En effet, en vertu du principe de liberté contractuelle, les parties doivent rester libres de négocier les conditions précises de mise à disposition de données dans leurs contrats, dans le cadre cependant des règles générales d’accès pour la mise à disposition des données posées par le Data Act. En clair, le Data Act pose l’exigence de portabilité des données, les entreprises pouvant en aménager les modalités entre elles, afin de sécuriser les transferts et de protéger, autant que faire se peut, leur secret d’affaires (cf. infra).

Ces contrats ne pourront cependant jamais exclure les exigences du Data Act, ni comporter de clauses abusives au détriment des petites et moyennes entreprises. Les effets de ces clauses abusives sont listés à l’article 13 du Data Act, qui se donne pour ambition d’éliminer les déséquilibres contractuels entre acteurs des marchés du numérique.

Les entreprises devront par ailleurs déployer des « mesures techniques appropriées de protection », y compris via des « smart contracts », afin d’empêcher l’accès aux données à d’autres tiers. Ces mesures ne devront jamais paralyser le droit à la portabilité de l’utilisateur, mais sécuriser les transferts pour que seul le destinataire désigné reçoive lesdites données.

Ces obligations doivent donc permettre le transfert des données générées, détenues par le fabriquant d’un produit connecté ou l’éditeur d’un service lié, vers un tiers destinataire. Ce dernier se voit également imposer des obligations à l’article 6 du Data Act, à commencer par l’interdiction d’utiliser les données qu’il reçoit aux fins de développer un produit concurrent du produit du fournisseur initial. A cet égard, on peut s’interroger sur les éléments de preuve à aménager pour démontrer que les données reçues n’ont pas été utilisées à cette fin, lorsque les données auront été échangées entre fournisseurs concurrents. Les risques de litiges semblent ici nombreux.

Le tiers destinataire des données ne doit pas non plus retransmettre les données à un « contrôleur d’accès » (ou « gatekeeper »), c’est-à-dire aux « très grandes plateformes » définies comme telles par le DMA (c’est-à-dire des plateformes englobant des services d’intermédiation, moteurs de recherche, réseaux sociaux, plateformes de vidéos partagées, systèmes d’exploitation, services d’hébergement cloud ou services de publicité, dont le meilleur exemple est Google), sauf dans le cas où ce fournisseur tiers s’appuie justement sur les services d’un contrôleur d’accès, en tant que sous-traitant, pour fournir son propre service.

Retour au sommaire

Adhérences avec le RGPD

Les données générées objets du Data Act peuvent se rapporter à une personne physique identifiée ou identifiable, en particulier quand l’utilisateur est une personne physique. Le RGPD s’applique bien entendu aux données personnelles incluses dans les données générées, même si elles sont inextricablement liées.

A cet égard, le Data Act ne crée pas de nouvelle base juridique pour exiger l’accès ou la portabilité des données personnelles pour une autre personne que la personne concernée, seules les bases légales prévues à l’article 6 du RGPD pouvant s’appliquer. Le Data Act ne crée pas non plus de droit nouveau pour le détenteur de données d’utiliser les données générées. En principe, ce droit d’utilisation par le détenteur de données de ces données générées doit être reconnu au sein du contrat avec l’utilisateur. Le contrat doit d’ailleurs indiquer les finalités poursuivies par le détenteur de données qui souhaite réutiliser les données générées.

La personne physique concernée conserve bien entendu son droit d’accès à ses données personnelles en vertu du RGPD, et, si elle est également l’utilisateur au sens du Data Act, elle aura dorénavant un droit d’accès aux données non personnelles générées par le produit qu’elle utilise.

En revanche, si l’utilisateur n’est pas la personne connectée (ex : une entreprise déploie une flotte de véhicules connectés géolocalisés), cet utilisateur restera considéré comme responsable des traitements de données personnelles effectués via le produit connecté ou le service lié. Donc, si cet utilisateur, personne morale, demande communication de données personnelles dans le cadre de son accès aux données générées, ce responsable de traitement doit pouvoir s’appuyer sur une base légale au sens du RGPD.

La personne concernée devra quant à elle recevoir l’information liée à l’utilisation de ses données par l’utilisateur, notamment la finalité qu’il poursuit, ce qui constitue là encore l’application normale du RGPD.

Le Data Act note qu’un utilisateur, personne morale, qui obtient les données générées dans le cadre de l’article 4 du Data Act, peut alors devenir à son tour lui-même un détenteur et être soumis en conséquence aux obligations de mise à disposition et de portabilité du Data Act.

Lorsque l’utilisateur fait valoir son droit à la portabilité des données générées en vertu de l’article 5 du Data Act, le tiers destinataire (ex : société de service après-vente, tiers mainteneur…) ne doit pouvoir traiter les données mises à sa disposition à la demande de l’utilisateur que pour les fins convenues entre l’utilisateur et ce tiers destinataire, et ne les partager avec un autre tiers que si c’est strictement nécessaire à l’exécution du service demandé par l’utilisateur.

Le Data Act précise qu’en toute hypothèse, cette réutilisation des données ne doit pas être faite par le tiers aux fins de profilage des personnes, sauf si le service qu’il fournit à l’utilisateur inclure précisément un tel profilage. On a voulu ici fermer la possibilité d’une réutilisation anarchique des données aux fins de profilage publicitaire ou de prospection commerciale notamment.

Le Data Act donne ici une nouvelle vigueur au droit à la portabilité des données personnelles prévu par l’article 20 du RGPD. Cet article prévoyait en effet le droit pour la personne concernée de demander la portabilité de ses données personnelles vers un autre responsable de traitement, uniquement lorsque ces données sont traitées par le premier fournisseur en vertu d’un contrat entre eux, ou sur la base de son consentement exprès.

Mais ce droit du RGPD était limité, en pratique, par de nombreux obstacles tels que la disparité des systèmes de traitement de données, la multiplicité des formats de données, ou encore le secret d’affaires ou le droit sui generis du producteur de bases de données, autant de limitations qui rendaient la portabilité largement théorique.

Désormais, via le Data Act, la portabilité s’étend aux données industrielles non personnelles générées par l’utilisation du produit connecté. On retrouve dans le Data Act des exigences qui existaient déjà dans le RGPD : l’exigence de pertinence des données (les données portées doivent être exactes, complètes, fiables, pertinentes et à jour, et l’exigence de minimisation des données (les données portées doivent se limiter à ce qui est nécessaire pour fournir le service, et le tiers ne doit les traiter que pour ces finalités convenues avec l’utilisateur, sans ingérence du détenteur). Une fois le service fourni, ou si les données ne sont plus nécessaires pour la finalité convenue, le tiers doit s’en défaire.

Source : Commission Européenne

Cet élargissement de la portabilité ne va pas sans poser des questions de compatibilité avec le RGPD. En effet, la portabilité de l’article 20 du RGPD ne s’applique qu’à des données collectées par le responsable de traitement sur la base (i) d’un contrat en cours ou (ii) du consentement de la personne concernée. Or, la portabilité de l’article 5 du Data Act inclut des données générées, y compris si elles sont personnelles, collectées en vertu de toute base légale de l’article 6 du RGPD, et pas seulement l’exécution du contrat ou le consentement de la personne. En outre, cette nouvelle portabilité ne bénéficie pas qu’à la personne concernée, mais plus largement à l’utilisateur du produit connecté, dont on sait qu’il peut s’agir d’une personne morale.

Des doutes subsistent donc pour l’heure sur l’étendue exacte des données concernées par le nouveau droit à la portabilité, et notamment sur le sort des données de communications électroniques qui sont, elles, couvertes par la Directive eprivacy de 2002, laquelle n’autorise leur transfert à un tiers que sur la base du consentement. Et, comme exprimé par le Contrôleur européen des données et le CEPD dans leur avis conjoint du 4 mai 2022, des doutes existent aussi quant au risque que cette nouvelle portabilité entraîne le transfert de données personnelles sensibles à des tiers (telles que les données de santé) en dehors du strict contrôle des personnes concernées.

Quoi qu’il en soit, selon l’article 5 du Data Act, l’utilisateur (ou un tiers mandaté par ses soins) peut désormais demander au détenteur de données de partager les données avec un destinataire désigné par l’utilisateur. Cette portabilité doit être mise en œuvre (i) dans les meilleurs délais, (ii) gratuitement pour l’utilisateur (sans préjudice de la compensation équitable autorisée par le Data Act), (iii) en continu si possible, et (iv) à un niveau de qualité identique.

Comme dans le RGPD, le détenteur de données qui reçoit une telle demande doit vérifier l’identité du demandeur, puis procéder au transfert sans porter atteinte à la protection des données personnelles de tiers (ainsi, le transfert des données générées ne peut inclure que les données personnelles des personnes concernées en lien avec l’utilisateur, en vertu d’une base légale conforme au RGPD).

Comme rappelé par l’article 6 du Data Act, le destinataire qui reçoit les données ne peut les utiliser qu’aux finalités et dans les conditions convenues avec l’Utilisateur, pour lui fournir le service demandé par ce dernier, et sous réserve de disposer lui-même d’une base légale conforme au RGPD s’agissant des données personnelles contenues dans les données générées reçues.

Enfin, l’article 6 du RGPD interdit la réutilisation, par le destinataire, des données qu’il reçoit aux fins de développer un produit concurrent du produit du détenteur initial des données. Il s’agit d’une affirmation de principe, mais dans les faits, on voit encore assez mal comment deux entreprises concurrentes, qui s’échangent des données à la demande de leur client utilisateur, pourront s’abstenir d’observer comment sont utilisées les données afin de nourrir leur propre R&D. Les contrats à venir entre détenteurs et destinataires devront faire preuve d’une certaine inventivité à cet égard.

Les litiges qui pourraient survenir entre détenteurs et destinataires de données dans la mise en œuvre de la portabilité et des contrats de gré à gré qu’ils auront conclus, pourront être soumis à des organismes certifiés, afin de vérifier notamment l’effectivité des conditions équitables, raisonnables et non discriminatoires de mise à disposition des données. Ces organismes, qui seront certifiés par les états-membres, devront être indépendants, experts, rapides et économiques. Ils donneront lieu à une procédure contradictoire, puis à une décision sous 90 jours, susceptible de recours devant les juridictions compétentes de l’état-membre.

Retour au sommaire

Montée en puissance de l’exigence d’interopérabilité

La portabilité des données est une notion juridique ; l’interopérabilité des services et des systèmes est sa condition technique. On entend par « interopérabilité » la capacité d’au moins deux « espaces de données ou réseaux de communication, systèmes, produits, applications ou composants » d’échanger et d’utiliser des données afin de remplir leurs fonctions.

L’article 28 du Data Act pose les « exigences essentielles » d’interopérabilité, qui doivent conduire les entreprises détentrices de données générées à élaborer, rendre disponible et tenir à jour la description des données, leur méthode de collecte, leurs qualité, structure, format, classification et taxinomie, ainsi que les modalités techniques d’accès aux données.

L’article 29 s’attarde sur les exigences d’interopérabilité des services de traitement de données, et pose les conditions du « cloud switching », avec l’obligation pour leurs exploitants d’élaborer des spécifications d’interopérabilité ouvertes en conformité avec les normes européennes. Le texte parle d’interopérabilité syntaxique, sémantique et comportementale. En synthèse, l’interopérabilité n’est plus une option, mais une obligation.

Le Data Act annonce de futurs « actes délégués » de la Commission Européenne pour publier des référentiels techniques qui s’imposeront aux entreprises, domaine par domaine, pour compléter les annexes du Règlement 1025/2021.

Retour au sommaire

La problématique du secret d’affaires

Le Data Act ne va pas sans causer l’émoi de nombreuses entreprises qui jusqu’à présent, considèrent que les modèles conceptuels de données inhérents à leurs produits relèvent de leur secret d’affaires. En effet, les données générées par un produit connecté ou un service lié sont très souvent considérés par leurs concepteurs comme procédant d’un secret industriel auxquels le public comme leurs concurrents ne doivent pas accéder. Le choix des données, leur sens, leur contenu, est souvent lié aux fonctionnalités du produit elles-mêmes. Un développeur de produit connecté considérera donc avec une certaine inquiétude l’obligation de communiquer ces données aux utilisateurs ou, pire, à des entreprises tierces qui peuvent être ses concurrentes.

Le secret d’affaires fait lui-même l’objet d’une protection (notamment par la Directive européenne 2016/943 du 8 juin 2016). Il s’entend, selon l’article 2 de cette directive, d’informations « qui répondent à toutes les conditions suivantes : a) elles sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l’assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles ; b) elles ont une valeur commerciale parce qu’elles sont secrètes ; c) elles ont fait l’objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes. »[2]

L’article 4 du Data Act dispose alors que « Les secrets d’affaires ne sont divulgués qu’à condition que toutes les mesures spécifiques nécessaires soient prises pour préserver leur confidentialité, en particulier en ce qui concerne les tiers. Le détenteur de données et l’utilisateur peuvent convenir de mesures visant à préserver la confidentialité des données partagées, en particulier en ce qui concerne les tiers ».

L’article 5 du Data Act confirme que « Les secrets d’affaires ne sont divulgués à des tiers que dans la mesure où ils sont strictement nécessaires pour atteindre la finalité convenue entre l’utilisateur et le tiers et où le tiers prend toutes les mesures spécifiques nécessaires qu’il a arrêtées avec le détenteur de données pour préserver la confidentialité du secret d’affaires. Dans ce cas, la qualité de secret d’affaires des données et les mesures visant à préserver la confidentialité sont précisées dans l’accord conclu entre le détenteur de données et le tiers ».

On constate donc dans le Data Act une formulation selon laquelle la communication des données générées ne doit pas se faire au détriment du secret d’affaires du détenteur initial, mais qui dès lors que ces données doivent être communiquées, conduit à penser qu’elles ne peuvent plus avoir de caractère secret. Il s’agit manifestement d’une approche volontariste qui tend à soustraire les données générées du périmètre du secret d’affaires afin d’obtenir leur circulation entre acteurs des marchés européens. Mais ceux-ci vont être confrontés à une rédaction circulaire qui ne permet pas clairement de délimiter la frontière entre données générées à communiquer et secret d’affaires à préserver. Il va leur appartenir de repenser leurs produits pour éviter que les données issues de leur utilisation ne révèlent leur fonctionnement…

Toutefois, entre secret d’affaires et portabilité des données, le choix est fait. D’ailleurs, dans ses lignes directrices du 13 décembre 2026, soit dès avant le RGPD, le Groupe Art. 29 (devenu le CEPD) soulignait que le secret d’affaires ne devait pas constituer en soi un motif de refus opposé à la portabilité des données personnelles : le Data Act pose donc qu’il ne doit pas non plus être un obstacle à la portabilité des données générées, charge aux entreprises qui s’échangeront ces données d’aménager entre elles, y compris par contrat, les conditions de protection du secret d’affaires pour éviter qu’il soit divulgué au-delà du tiers destinataire.

Retour au sommaire

L’encadrement des flux transfrontaliers

Autre problématique traitée par le Data Act, et autre adhérence avec le RGPD : la protection des données dans le cadre des flux transfrontaliers. A l’instar du RGPD qui a posé des exigences pour que ne puissent être transférées des données personnelles en dehors du territoire de l’Union Européenne qu’à la condition qu’existent des garanties juridiques fortes (clauses contractuelles types, règles contraignantes d’entreprise), le Data Act rappelle que les transferts des données générées ne doit pas non plus exposer celles-ci à un risque d’accès par les autorités étrangères (qui ne seraient pas liées aux pays européens par un accord international, comme par exemple un traité d’entraide judiciaire).

Or, l’évolution récente du RGPD a montré qu’il s’agissait d’une question épineuse, depuis la décision de la CJUE du 16 juillet 2020 dite « Schrems II » qui a invalidé le privacy shield américain, et qui a fragilisé les autres modes habituels d’encadrement des flux transfrontaliers. Suite à cette décision, le CEPD avait affirmé qu’il appartenait aux entreprises qui déclenchent de tels flux, de s’assurer de la compatibilité des lois du pays d’importation avec les garanties essentielles européennes et, le cas échéant, de déployer des mesures additionnelles (techniques, organisationnelles ou contractuelles) pour renforcer leur protection et les mettre à l’abri d’une divulgation aux autorités étrangères (allusion notamment aux lois américaines relatives au renseignement).

Le Data Act s’inspire très fortement de ces recommandations pour poser qu’en cas de transfert des données générées à l’étranger, dans le cadre de leur nouvelle portabilité, l’entreprise doit vérifier que le droit du pays de destination ne contredit pas les lois européennes et les lois des états-membres, en matière non seulement de protection des données personnelles, mais également en matière de protection de la propriété intellectuelle, du secret d’affaires (encore lui), des engagements contractuels de confidentialité ou encore de protection des « données commercialement sensibles » (soit un concept particulièrement large et susceptible d’interprétation).

Cela accroît encore le champ des réglementations étrangères qui pourraient constituer un obstacle à la transférabilité des données, et alourdit considérablement le poids des vérifications juridiques à effectuer avant de procéder au transfert.

Comme préconisé par le CEPD en matière de données personnelles, l’article 27 du Data Act exige d’entreprise destinataire des données générées recevant une demande d’accès émanant d’une autorité étrangère, qu’elle éprouve cette demande afin de vérifier sa licéité et sa proportionnalité, qu’elle s’assure que la demande est spécifique (ex : la demande ne porte que sur un suspect) et que la décision est susceptible de contestation devant une juridiction du pays tiers compétente en la matière.

Cet article 27 du Data Act impose également aux entreprises de déployer « toutes les mesures techniques, juridiques et organisationnelles raisonnables, y compris les accords contractuels » pour empêcher le transfert ou l’accès des données aux gouvernements tiers, dans le cas où les législations européennes susmentionnées seraient bafouées. Si le Data Act promet de futures lignes directrices, ce point pose actuellement de nombreuses questions quant à la capacité des entreprises européennes pour vérifier la compatibilité légale des transferts de données, exactement comme dans le cadre du RGPD.

Retour au sommaire

Mise à disposition des données au bénéfice des autorités publiques

Enfin, le chapitre V du Data Act innove en posant le principe d’un accès aux données générées au bénéfice des administrations publiques de l’Union ou des états-membres européens, afin de permettre aux pouvoirs publics de prendre des mesures pour le bien commun, notamment en cas d’urgence publique (entendue comme « une situation exceptionnelle ayant une incidence négative sur la population de l’Union, d’un État membre ou d’une partie de celui-ci, entraînant un risque de répercussions graves et durables sur les conditions de vie ou la stabilité économique, ou la détérioration substantielle d’actifs économiques dans l’Union ou les États membres concernés », et qui pourra caractériser par exemple des situations de catastrophes naturelles ou des impératifs de sécurité ou de santé publiques) entraînant un « besoin exceptionnel pour les données demandées ».

Le Data Act crée donc à la charge des détenteurs de données (exception faite des micro et petites entreprises) une obligation, en cas de besoin exceptionnel d’utiliser leurs données, de les fournir à l’institution publique qui en fait la demande. Cela impliquera pour l’institution publique de démontrer le besoin exceptionnel, ainsi que la spécificité et la proportionnalité des données demandées, et de préciser le délai dans lequel les données doivent lui être fournies.

Le détenteur de données devra alors s’exécuter (sauf à arguer de l’un des motifs de refus énumérés à l’article 18 du Data Act), en s’efforçant si possible d’en exclure les données personnelles ou de les pseudonymiser. Cette mise à disposition des données issues du secteur privé sera gratuite s’il s’agit pour l’institution publique de répondre à une urgence publique.

Retour au sommaire

Perspectives

En cas de non-respect des futures obligations du Data Act, son article 33 met à la charge des états-membres de définir les sanctions applicables, qui devront être « proportionnées et dissuasives ». Mais ce même article confie d’ores et déjà aux CNIL européennes la faculté de prononcer des amendes administratives identiques à celles du RGPD, qui peuvent donc aller jusqu’à 4% du chiffre d’affaires mondial de l’entreprise.

Le Data Act apparaît donc bien comme un « RGPD des données industrielles » en créant de nouvelles obligations à la charge des entreprises. Le Data Act a aussi pour effet de relativiser leur secret d’affaires, et d’annihiler le monopole juridique dont les détenteurs de données générées disposaient jusqu’à présent sur celles-ci.

Ces obligations sont imposées afin de créer les conditions d’un grand marché numérique européen, au sein duquel les données industrielles pourront circuler afin de favoriser la concurrence, l’innovation et l’interopérabilité des services. Certains acteurs redoutent cependant qu’en dépit des affirmations de principe du Data Act sur le respect du secret d’affaires et l’absence de concurrence déloyale, l’accès aux données favorise des actions de reverse engineering permettant aux concurrents du détenteur de données de copier son produit, puisque les données techniques sont étroitement liées aux objets qui permettent de les générer. D’aucun s’interrogent également sur la sécurité des données personnelles, qui pourrait être mise à mal par la systématisation des transferts aux tiers dans le cadre de la portabilité du Data Act.

Si le Data Act répond à un objectif économique légitime et extrêmement ambitieux, on peut regretter, à l’unisson avec notamment le CEPD et le Contrôleur européen de la protection des données, que les interactions entre Data Act et RGPD soient parfois insuffisamment bordées. C’est notamment l’une des raisons qui plaident pour que les CNIL européennes soient désignées comme les autorités compétentes pour encadrer l’application future du Data Act, afin d’assurer sa cohérence avec le RGPD, le DGA ou le DMA.

De plus, certains concepts employés par le Data Act semblent très théoriques et, même en nourrissant la réflexion par des exemples d’objets connectés en fort déploiement à travers l’Union, on peine encore à mesurer l’ensemble des implications juridiques, techniques et économiques. De nombreuses entreprises ont donc exprimé leur inquiétude face à une complexification croissante de leurs obligations réglementaires.

Un délai de 18 mois est actuellement évoqué, à compter de la future entrée en vigueur du Data Act, pour que les entreprises s’y conforment. Ce délai est d’ores et déjà dénoncé comme trop court, compte tenu des bouleversements que ses obligations va introduire dans le fonctionnement de nombreuses entreprises. La discussion continue donc afin que l’esprit de ce texte, favorable aux entreprises européennes, n’aie pas d’effet pervers pénalisant, et reçoive une application cohérente et harmonisée avec les autres grands textes juridiques applicables à l’économique numérique dont le RGPD.

Retour au sommaire

Notes

[1] Considérant 45 : « Les coûts directs liés à la mise à disposition de données sont les frais encourus pour la reproduction, la diffusion par voie électronique et le stockage des données, mais pas pour la collecte ou la production des données ».

[2] Le droit français adopte une définition très voisine à l’article L. 151-1 du Code de commerce, évoquant une information qui « 1° n’est pas, en elle-même ou dans la configuration et l’assemblage exacts de ses éléments, généralement connue ou aisément accessible pour les personnes familières de ce type d’informations en raison de leur secteur d’activité; 2° revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret; et 3° fait l’objet de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret ».

ds
Publications

Parcourez la très grande variété de publications rédigées par les avocats DS.

ds
ds
À la Une

Suivez la vie du cabinet, ses actions et ses initiatives sur les 4 continents.

ds
ds
Événements

Participez aux évènements organisés par DS Avocats à travers le monde.

ds